nicht angemeldet
Nur mit eingeschränktem Benutzerkonto ins Internet?
0 0 0 0 0 0 0 
Der Martin
0
0 
Auge
1
Nur mit eingeschränktem Benutzerkonto ins Internet?
Hallo,
gerne wird ja hier & dort dazu geraten, nur mit einem eingeschränkten Benutzerkonto ins Internet zu gehen. Ich mache dieses seit Jahren so: ich logge mich bei Windows "normal" als Admin ein (damit ich alles sonstige am PC ausführen kann) und gehe dann als "eingeschränkter Nutzer" ins Netz (beim lokalen Mailprogramm mache ich es genau so). Bei XP ging das noch recht einfach über "ausführen als", ab Vista wird das schwieriger, da muss man die Möglichkeit "runas" erstmal einrichten. Ist das überhaupt noch zeitgemäß? Aus berufenem Munde habe ich gehört, dass dieses Vorgehen mittlerweile völlig sinnfrei sei (ohne die Begründung hier genau wiedergeben zu können).
Man sagt ja auch, man solle sich als Admin nur mit Passwort beim eigenen PC einloggen, damit ein potentieller Angreifer, der ggf. Zugriff über das eingeschränkte Nutzerkonto erlangt, wenigstens keine Admin-Rechte erlangen kann. Ich verfahre entsprechend.
So gebe ich pro PC-Sitzung drei Passwörter ein: 1 x für Windows (Admin), 1 x für den Browser (eingeschränkter Nutzer) und 1 x für das Mailprogramm (eingeschränkter Nutzer). Ist das heutzutage noch notwendig? Macht ihr das genau so? Ich jedenfalls kenne niemanden außer mir, der so verfährt und mittlerweile nervt es mich auch, weil es mich ausbremst ...
MfG
pixxma
-
gerne wird ja hier & dort dazu geraten, nur mit einem eingeschränkten Benutzerkonto ins Internet zu gehen. Ich mache dieses seit Jahren so: ich logge mich bei Windows "normal" als Admin ein (damit ich alles sonstige am PC ausführen kann)
Ich kann auch ohne Admin-Rechte alles notwendig tun.
und gehe dann als "eingeschränkter Nutzer" ins Netz (beim lokalen Mailprogramm mache ich es genau so). Bei XP ging das noch recht einfach über "ausführen als", ab Vista wird das schwieriger, da muss man die Möglichkeit "runas" erstmal einrichten. Ist das überhaupt noch zeitgemäß?
Nein, und war es noch nie - Arbeite mit deinem eingeschränkten benutzer und wechsle bei Bedarf (also nur zum installieren von Treibern und Programmen) zum anderen Konto (wahlweise auch über UAC).
Aus berufenem Munde habe ich gehört, dass dieses Vorgehen mittlerweile völlig sinnfrei sei (ohne die Begründung hier genau wiedergeben zu können).
Wie erwähnt: es war noch nie sinnvoll - es gibt dadurch höchstens einen Vorteil: die Faulheit.
So gebe ich pro PC-Sitzung drei Passwörter ein: 1 x für Windows (Admin), 1 x für den Browser (eingeschränkter Nutzer) und 1 x für das Mailprogramm (eingeschränkter Nutzer). Ist das heutzutage noch notwendig?
Ich gebe pro Sitzung nur ein Passwort ein: das meines Benutzers.
-
Hallo suit,
gerne wird ja hier & dort dazu geraten, nur mit einem eingeschränkten Benutzerkonto ins Internet zu gehen. Ich mache dieses seit Jahren so: ich logge mich bei Windows "normal" als Admin ein (damit ich alles sonstige am PC ausführen kann)
Ich kann auch ohne Admin-Rechte alles notwendig tun.
Nö, kannst Du nicht. Ich z.B. installiere hin & wieder neue Programme, update sie ggf. (Firefox oft) oder installiere Plug-Ins. Dafür brauche ich ständig Admin-Rechte.
Ansonsten bestätigst Du ja die Auffassung, dass man nur mit eingeschränktem Nutzerkonto ins Netz gehen sollte.
Ich gebe pro Sitzung nur ein Passwort ein: das meines Benutzers.
Tja, und wenn Du zum Admin-Account wechselst, gibst Du doch noch ein weiteres ein ...
MfG
pixxma
-
Hi!
Tja, und wenn Du zum Admin-Account wechselst, gibst Du doch noch ein weiteres ein ...
Nein. Ich melde mich auch nur mit einem eingeschraenkten Benutzer an. Und ich verwende auch nur ein Passwort. Ich verwende das Passwort oefter, aber nur das eine. Ich wechsel auch nicht zum Admin Account, sondern besorge lediglich einem unverbesserlichen Programm erhoehte Rechte. Mit dem einen Passwort fuer das Userkonto. Aehnlich zu Linux.
Schau mal nach einem Tool namens SuRun. (z.b. bei den Heise downloads) Inwiefern das fuer nicht XP Systeme funktioniert, weis sich nicht. Infwiefern XP Nachfolger so eine Funktionalitaet schon besitzen, weiss ich auch nicht. Soweit ich mich erinnere, fragt Win7 einfach, ob das Programm erhoehte Rechte haben darf.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Soweit ich mich erinnere, fragt Win7 einfach, ob das Programm erhoehte Rechte haben darf.
runas funktioniert nachwievor (per Shell) und natürlich auch im Kontextmenü: "Ausführen als XXX". Ist man als Admin eingeloggt, kommt nur das Prompt zum Bestätigen der Rechte (oder man muss, sofern so konfiguriert, das Passwort erneut eingeben) - ist man als eingeschränkter Benutzer eingeloggt, muss man im prompt in jedem Fall die Benutzerdaten eingeben.
-
Soweit ich mich erinnere, fragt Win7 einfach, ob das Programm erhoehte Rechte haben darf.
runas funktioniert nachwievor (per Shell) und natürlich auch im Kontextmenü: "Ausführen als XXX". Ist man als Admin eingeloggt, kommt nur das Prompt zum Bestätigen der Rechte (oder man muss, sofern so konfiguriert, das Passwort erneut eingeben) - ist man als eingeschränkter Benutzer eingeloggt, muss man im prompt in jedem Fall die Benutzerdaten eingeben.
Aber dann installiert man doch als Admin, oder? Das ist dann ein anderer Benutzer und viele Programme haben sich dann fuer den installiert. Toll dass Desktopicons dann beim Admin aufm Desktop sind, sein persoenliches Verzeichnis benutzt wird und ich evtl. nichtmal abgespeicherte Files editiern/kopieren kann, weil die dem Admin gehoeren.
SuRun gibt mir (dem Programm) Adminrechte. Ich kann ALLES machen ohne ein anderes Konto zu benutzen. Und habe dann auch ohne Adminrechte die Verfuegungsgewalt ueber meine Dateien. Aehnlich sudo.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Aber dann installiert man doch als Admin, oder?
Ja.
Das ist dann ein anderer Benutzer und viele Programme haben sich dann fuer den installiert.
Dämliche Software erwischt :) Ordentliche Software die Windows-API-nahe geschrieben ist, fragt dich, für welchen Benutzer (oder für alle) die Software installiert werden soll.
Das "Nur für mich installieren" und "Für alle Benutzer dieses Rechners" hast du sicher schon mal gesehen.
-
Hi!
Das "Nur für mich installieren" und "Für alle Benutzer dieses Rechners" hast du sicher schon mal gesehen.
Ja klar. Das kommt aber relativ selten (aber immer oefter) vor. Meist wird gar nicht gefragt und dann hats nur der installierende User oder gleich alle. Jedenfalls haben dies alle aufm Desktop. Ob es alle wegen mangelnder rechte starten koennen steht schon wieder auf nem anderen Baltt. Ich hatte frueher genug Programme, die ich immer mit runas starten musste.
Es fehlt das "Nur fuer Steel installieren".
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Hallo,
Das "Nur für mich installieren" und "Für alle Benutzer dieses Rechners" hast du sicher schon mal gesehen.
Ja klar. Das kommt aber relativ selten (aber immer oefter) vor.immer noch selten, stimmt.
Es fehlt das "Nur fuer Steel installieren".
Wenn du den Rechner auschließlich selbst benutzt, kannst du den Desktop, das Startmenü etc. für den eingeschränkten Benutzer und für den Admin jeweils auf dasselbe Verzeichnis legen. Dann hast du deine gewohnte Arbeitsumgebung unabhängig davon, ob du gerade Admin bist oder nicht.
So long,
Martin--
Die Zeit, die man zur Fertigstellung eines Projekts wirklich braucht, ist immer mindestens doppelt so lang wie geplant.
Wurde dieser Umstand bei der Planung bereits berücksichtigt, gilt das Prinzip der Rekursion.
-
Es fehlt das "Nur fuer Steel installieren".
Wenn du den Rechner auschließlich selbst benutzt, kannst du den Desktop, das Startmenü etc. für den eingeschränkten Benutzer und für den Admin jeweils auf dasselbe Verzeichnis legen. Dann hast du deine gewohnte Arbeitsumgebung unabhängig davon, ob du gerade Admin bist oder nicht.
Hmm. Das wär ne Option, da ich ihn meist alleine benutze. Da muß ich mich wohl mal schlau machen. Im Augenblick hab ich aber schon Probleme, weil einige Programme scheinbar nicht damit klarkommen, daß meine Profile auf eine andere Platte ausgelagert sind. -.- Fragt sich ob so eine Zusammenlegaktion auch Auswirkungen hat.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Hallo,
Wenn du den Rechner auschließlich selbst benutzt, kannst du den Desktop, das Startmenü etc. für den eingeschränkten Benutzer und für den Admin jeweils auf dasselbe Verzeichnis legen. Dann hast du deine gewohnte Arbeitsumgebung unabhängig davon, ob du gerade Admin bist oder nicht.
Im Augenblick hab ich aber schon Probleme, weil einige Programme scheinbar nicht damit klarkommen, daß meine Profile auf eine andere Platte ausgelagert sind.ach du Sch...
Das ist bei mir eigentlich der Normalfall: Die gesamten Benutzerprofile haben IMHO auf der System-Partition erstmal nix verloren. Zusätzlich zur Zwangsumsiedelung von "C:\Dokumente und Einstellungen" nach "E:\Profiles" lege ich dann noch gern "Eigene Dateien" und "Desktop" zusammen, "Recent" ist identisch mit %temp%, das automatisch beim Rechnerstart geleert wird. Ich habe bisher noch kein Problem mit dieser Konstellation gehabt.Fragt sich ob so eine Zusammenlegaktion auch Auswirkungen hat.
Sollte nicht, hat im Einzelfall vielleicht aber doch. Kann man aber nicht vorhersagen.
Ciao,
Martin--
Soziologen sind nützlich, aber keiner will sie haben.
Bei Informatikern ist es gerade umgekehrt.
-
Hallo,
danke für alle Antworten und Einblicke in die eigene Praxis, das hilft weiter:-)
Was mir noch nicht so ganz klar ist: wenn ich den PC allgemein und das Internet speziell sowieso nur über ein einziges Konto als Nutzer mit eingeschränkten Rechten benutze - wofür brauche ich denn eigentlich das Passwort für diesen eingeschränkten Nutzer (abgesehen von dem mir durchaus bewußten Tatbestand, dass sich außer mir niemand am PC direkt einloggen kann)?
Wenn ein Internet-Angreifer im System "drin" ist, hat er ja eh meine Identität ...MfG
pixxma
-
Moin!
Was mir noch nicht so ganz klar ist: wenn ich den PC allgemein und das Internet speziell sowieso nur über ein einziges Konto als Nutzer mit eingeschränkten Rechten benutze - wofür brauche ich denn eigentlich das Passwort für diesen eingeschränkten Nutzer (abgesehen von dem mir durchaus bewußten Tatbestand, dass sich außer mir niemand am PC direkt einloggen kann)?
Mit SuRun (sudo) Um Dich zu authorisieren, Dinge zu machen, die Du eigentlich nicht darfst. Nur weil ein Programm mit deinen Rechten laeuft kann es noch lange nicht machen was Du koenntest. Hier scheiden sich die Geister: Einige Leute vertreten, wie Microsoft, die These Das Passwort einzugeben sei eine Sicherheitsluecke und es sei besser einfach ein passwortloses Bestaetigungsfenster zu praesentieren. Andere stehen eher zur Linuxvariante, bei Bedarf ein Fenster zur Authentifizierung erscheinen zu lassen.
Ich finde eine Passworteingabe ist der einzig effektive Schutz vor der Gefahr, die vor der Tastatur sitzt und natuerlich auch davor den Bestaetigungsklick irgendwie zu simulieren.
Ein Konto mit eingeschraenkten Benutzerrechten ohne die noetige Power, bei Bedarf Adminrechte zu bekommen, braucht, wenn es nicht mehrere Benutzer gibt, auch kein Passwort.
Wenn ein Internet-Angreifer im System "drin" ist, hat er ja eh meine Identität ...
Die aber ja fuer nix interessantes reicht.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett
-
-
-
-
-
-
-
Hi,
Aber dann installiert man doch als Admin, oder? Das ist dann ein anderer Benutzer und viele Programme haben sich dann fuer den installiert. Toll dass Desktopicons dann beim Admin aufm Desktop sind, sein persoenliches Verzeichnis benutzt wird und ich evtl. nichtmal abgespeicherte Files editiern/kopieren kann, weil die dem Admin gehoeren.
das ist ein bedauernswertes Manko der Windows-Benutzerverwaltung, dass die Zugriffsrechte und das Benutzerprofil beide fest mit dem jeweiligen Benutzer verbunden sind.
SuRun gibt mir (dem Programm) Adminrechte. Ich kann ALLES machen ohne ein anderes Konto zu benutzen. Und habe dann auch ohne Adminrechte die Verfuegungsgewalt ueber meine Dateien. Aehnlich sudo.
Das hört sich sehr sinnvoll an; schade, dass Windows das nicht "out of the box" unterstützt.
Ciao,
Martin--
Soso, der Klügere gibt nach.
Aber warum sollen sich immer nur die Dummen durchsetzen? .oO(?)
-
Moin!
das ist ein bedauernswertes Manko der Windows-Benutzerverwaltung, dass die Zugriffsrechte und das Benutzerprofil beide fest mit dem jeweiligen Benutzer verbunden sind.
Naja. Man kann schon Zugriffsrechte verteilen. Muss daß dann aber auch detailliert machen. Zum Glück kann man Einstellungen auf einen Ganzen Ordner samt Unterordner übertragen. Is aber halt ein Gefrickel.
SuRun gibt mir (dem Programm) Adminrechte. Ich kann ALLES machen ohne ein anderes Konto zu benutzen. Und habe dann auch ohne Adminrechte die Verfuegungsgewalt ueber meine Dateien. Aehnlich sudo.
Das hört sich sehr sinnvoll an; schade, dass Windows das nicht "out of the box" unterstützt.
Ja. Man muss es einmal konfigurieren und dann kann man sich immer kurz zum Admin machen, wenn man will oder muß. Es gibt halt eine Einschränkung: Es muss ein Konto mit Passwort sein. Tragisch. ;)
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett
-
-
-
-
-
Nö, kannst Du nicht. Ich z.B. installiere hin & wieder neue Programme, update sie ggf. (Firefox oft) oder installiere Plug-Ins. Dafür brauche ich ständig Admin-Rechte.
Browserweiterungen zu installieren sollte keine erweiterten Rechte erfordern - Updates installieren fällt unter die Kategorie "und wechsle bei Bedarf (also nur zum installieren von Treibern und Programmen)" und das erachtet ich beim _Arbeiten_ nicht als notwendig.
"Arbeiten" heisst für mich: ich Starte meinen Browser, meinen E-Mail-Client, SFTP-/SCP-Client, Editor, MP3-Player, Spiele usw.
Btw: wenn du Firefox verwendest, bist du selbst schuld - da sind Updates an der Tagesordnung, das kostet Zeit die ich nicht bereit bin zu investieren. SCNR
Ansonsten bestätigst Du ja die Auffassung, dass man nur mit eingeschränktem Nutzerkonto ins Netz gehen sollte.
Nein, ich bin der Meinung, dass man _immer_ mit eingeschränktem Nutzerkonto Arbeiten sollte - egal ob man online ist oder nicht - man muss nur mal schnell einen infizierten U3-USB-Stick anstecken und schon hat man ggf. ein gewaltiges Problem, wenn der Benutzer grade Admin-Rechte hat.
Tja, und wenn Du zum Admin-Account wechselst, gibst Du doch noch ein weiteres ein ...
Ich wechsle aber nicht ständig zum Admin-Account-Warum auch? Das kommt 1 bis 2x im Monat vor wenn mal wieder "Patch Day" ist.
-
Hi!
"Arbeiten" heisst für mich: ich Starte meinen Browser, meinen E-Mail-Client, SFTP-/SCP-Client, Editor, MP3-Player, Spiele usw.
Du Glückspilz;)
off:PP
--
"You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)
-
-
-
-
Hallo
gerne wird ja hier & dort dazu geraten, nur mit einem eingeschränkten Benutzerkonto ins Internet zu gehen. Ich mache dieses seit Jahren so: ich logge mich bei Windows "normal" als Admin ein (damit ich alles sonstige am PC ausführen kann) und gehe dann als "eingeschränkter Nutzer" ins Netz (beim lokalen Mailprogramm mache ich es genau so). Bei XP ging das noch recht einfach über "ausführen als", ab Vista wird das schwieriger, da muss man die Möglichkeit "runas" erstmal einrichten. Ist das überhaupt noch zeitgemäß? Aus berufenem Munde habe ich gehört, dass dieses Vorgehen mittlerweile völlig sinnfrei sei (ohne die Begründung hier genau wiedergeben zu können).
Unter Windows Vista (und auch unter Windows7) meldest du dich, nach Werkseinstellungen, immer als Administrator an. Dem werden dann aber alle möglichen Rechte entzogen, die er sich per Beantwortung diverser Fragen ("Wollen Sie?", "Wollen Sie wirklich?", "Sind Sie sich ganz sicher?") im Einzelfall zurückholen kann.
Das ist in Ansätzen mit "su" bzw. "sudo" unter Unixoiden vergleichbar, auch wenn man dort *für die entsprechende Anwendung* den Benutzer wechselt, wohingegen unter Windows dem angemeldeten Benutzer für die Anwendung nur zusätzliche Rechte gewährt werden.
So gebe ich pro PC-Sitzung drei Passwörter ein: 1 x für Windows (Admin), 1 x für den Browser (eingeschränkter Nutzer) und 1 x für das Mailprogramm (eingeschränkter Nutzer). Ist das heutzutage noch notwendig? Macht ihr das genau so? Ich jedenfalls kenne niemanden außer mir, der so verfährt und mittlerweile nervt es mich auch, weil es mich ausbremst ...
Ich hatte das (unter Windows 2k) ähnlich gehalten. Der gravierende Unterschied zwischen unseren Ansätzen ist allerdings, dass ich das Admin-Konto wirklich *nur zur Administration des Rechners* benutzt habe. Gearbeitet habe ich also grundsätzlich als eingeschränkter Benutzer, womit im Tagesgeschäft auch der dauernde Wechsel zwischen mehreren Benutzerkonten wegfiel. Wozu man nun auch noch ein Konto zum browsen und eines für die Mails braucht, erschließt sich mir im Übrigen in keinster Weise.
Tschö, Auge
--
Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
Terry Pratchett, "Wachen! Wachen!"
Veranstaltungsdatenbank Vdb 0.3-
Hallo Auge,
Unter Windows Vista (und auch unter Windows7) meldest du dich, nach Werkseinstellungen, immer als Administrator an. Dem werden dann aber alle möglichen Rechte entzogen, die er sich per Beantwortung diverser Fragen ("Wollen Sie?", "Wollen Sie wirklich?", "Sind Sie sich ganz sicher?") im Einzelfall zurückholen kann.
Das hieße tatsächlich, die seit Vista vorhandene Benutzerkontensteuerung macht das zweigleisige Benutzen überflüssig!!?
Wozu man nun auch noch ein Konto zum browsen und eines für die Mails braucht, erschließt sich mir im Übrigen in keinster Weise.
Nein, ss sind nicht zwei eingeschränkte Konten, sondern ich muss mich als eingeloggter Admin jeweils einmal am Browser und am Mailprogramm anmelden.
Das Wichtige an Deiner Antwort ist für mich die Sache mit der UAC, s.o. Mit dem Einführen der UAC kann man sich also immer als Admin anmelden und es entfällt wohl - wenn ich es richtig verstanden habe - die Notwendigkeit, ein zusätzliches Benutzerkonto mit eingeschränkten Rechten anzulegen.
Bliebe die Frage, ob ein Angreifer den Ja-Klick auf die Anfragen des Systems simulieren könnte ...
MfG
pixxma
-
Das hieße tatsächlich, die seit Vista vorhandene Benutzerkontensteuerung macht das zweigleisige Benutzen überflüssig!!?
Nein, die UAC unter Vista und Windows 7 sorgt nur dafür, dass jene die sich dämlicherweise (oder mangels besseren Wissens) mit einem Administratorkonto anmelden, dennoch mit weitestgehend beschnittenen Rechten arbeiten.
Das Wichtige an Deiner Antwort ist für mich die Sache mit der UAC, s.o. Mit dem Einführen der UAC kann man sich also immer als Admin anmelden und es entfällt wohl - wenn ich es richtig verstanden habe - die Notwendigkeit, ein zusätzliches Benutzerkonto mit eingeschränkten Rechten anzulegen.
Nein.
Bliebe die Frage, ob ein Angreifer den Ja-Klick auf die Anfragen des Systems simulieren könnte ...
Das nicht, aber mit dem "Ja" klick bestätigst du nur, dass die Anwendung grade das darf, was du willst.
Du kannst aber nicht unterscheiden, was da grade so passiert - wenn irgend ein Firefox-Addon sagt "darf ich, ich muss updaten?" und du klickst ja, darf das Ding in dieser Zeit alles machen.
Darum: Dinge die Admin-Rechte benötigen, obwohl sie sie augenscheinlich nicht benötigen sollten, getrost in die Tonne treten.
-
Hi!
Bliebe die Frage, ob ein Angreifer den Ja-Klick auf die Anfragen des Systems simulieren könnte ...
Weshalb ich persoenlich die Passworteingabe vorziehe. Die ist laut MS aber ja unsicher, weil jemand den Dialog faelschen koennte. Ist Mist, in dem Augenblick, wo die Gefahr (mal wieder) vorm Computer sitzt.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett-
Ist Mist, in dem Augenblick, wo die Gefahr (mal wieder) vorm Computer sitzt.
Alsob du einen (gut) gefälschten von einem echten Dialog unterscheiden könntest - ich könnte das nicht.
-
-
-
-
Hi!
Ich benutze meinen PC nur ueber ein eingeschraenktes Benutzerkonto. Administrieren macht man dann als Admin.
--
"Die Diebesgilde beklagte sich darueber, dass Mumm in aller Oeffentlichkeit behauptet hatte, hinter den meisten Diebstaehlen steckten Diebe."
- T. Pratchett